Neu Wawi Sicherheitslücke geschlossen? Details?

  • Wichtiger Hinweis Liebe Kunden, solltet Ihr den DATEV Rechnungsdatenservice 2.0 nutzen, dann müsst Ihr bis zum 30.06.2024 JTL-Wawi 1.9 installieren. Danach wird die Schnittstelle für ältere Versionen nicht mehr unterstützt.

Michael Spaltmann

Moderator
Mitarbeiter
2. November 2010
664
145
Hi,

wie recent.digital schon geschrieben hat, möchte ich nur sehr ungerne öffentlich breittreten um welche Library es sich im Detail handelt - das würde einem potenziellem Angreifer die Arbeit erheblich erleichtern. Ich bitte hier um Euer Verständnis.

Ich habe absolutes Verständnis wenn man nicht jedes unserer Releases mitnimmt - gerade bei vielen Clients. Warum updaten wenn das System doch macht was es soll? Auch Hotfixes die evtl. Module betreffen, die man selbst nicht nutzt kann man sich ggf. sparen und nimmt dann halt das nächste Release mit, wo wirklich Funktionen oder Fixes drin sind die man braucht.

Bei Security Hotfixes empfehle ich allerdings allen Usern ein zeitnahes Update. Solche sicherheitsrelevanten Hotfixes releasen wir ja meiner Meinung nach recht selten, so dass das auch bei größerem Aufwand wenigstens selten passiert.

Edit: Um die Frage "Lohnt sich das?" zu beantworten: Securityupdates lohnen sich nie - bis sie sich gelohnt hätten.

Viele Grüße Michael
 

Verkäuferlein

Sehr aktives Mitglied
29. April 2012
2.353
841
Bei Security Hotfixes empfehle ich allerdings allen Usern ein zeitnahes Update. Solche sicherheitsrelevanten Hotfixes releasen wir ja meiner Meinung nach recht selten, so dass das auch bei größerem Aufwand wenigstens selten passiert.

Nur um mal eine ungefähre Einschätzung der Brisanz zu haben und es auch für den Otto-Normal-Nutzer verständlicher zu machen, wie drigend ein Update möglicherweise ist:

In welchem Szenario ließe sich denn diese Sicherheitslücke der Library überhaupt ausnutzen?
Nur bei direktem (Schreib-)Zugriff auf die lokalen Rechner bzw. das lokale Netzwerk, sobald der Rechner am Internet hängt oder nur bei speziellen Konstellationen?

P.s.: Vielleicht sollte man den Thread auch besser in den nicht öffentlichen Bereich verschieben.
 
  • Gefällt mir
Reaktionen: John

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
339
57
Ich werde nicht ganz schlau aus dem Issue Tracker. Welche WAWI-Versionen waren denn davon betroffen und sollten daher ein Update erhalten? Dort sind ja nur sog. "Zielversionen" zu finden ... was bedeutet das?
 

JohnFrea

Sehr aktives Mitglied
21. September 2017
732
223
Was ist eigentlich mit 1.5 und 1.6?
Nicht betroffen oder nicht gepatched weil abgekündigt? Ist 1.6 überhaupt abgekündigt?
 

recent.digital

Offizieller Servicepartner
SPBanner
8. Juli 2015
1.569
475
Wuppertal
In Zukunft, ab 1.9. werden die letzten beiden Stable unterstütze.

Das würde dann 1.8 und 1.9 bedeuten - alle anderen wären abgekündigt.

Ich hab jetzt nicht explizit nachgeschaut, daher ohne Gewähr.
 

Michael Spaltmann

Moderator
Mitarbeiter
2. November 2010
664
145
Hi,

die 1.5 ist nicht betroffen, aber die Version ist natürlich trotzdem recht out-of-date. Die Versionen für die wir diesen Hotfix released haben (1.7, 1.8, 1.9) sind betroffen. Wie oben schon erwähnt, kann ich Euch nicht sagen in welchen Szenarien der Fix relevant ist, dann könnte ich direkt eine Anleitung zum Exploit hier rein posten. Ich bitte hier nochmal um Euer Verständnis.

Viele Grüße Michael
 
  • Gefällt mir
Reaktionen: Shop-Schmied

Shop-Schmied

Sehr aktives Mitglied
4. Februar 2014
339
57
Hi,

die 1.5 ist nicht betroffen, aber die Version ist natürlich trotzdem recht out-of-date. Die Versionen für die wir diesen Hotfix released haben (1.7, 1.8, 1.9) sind betroffen. Wie oben schon erwähnt, kann ich Euch nicht sagen in welchen Szenarien der Fix relevant ist, dann könnte ich direkt eine Anleitung zum Exploit hier rein posten. Ich bitte hier nochmal um Euer Verständnis.

Viele Grüße Michael
Diese Information jetzt genügt ja, um eine informierte Entscheidung zu treffen.
 
Ähnliche Themen
Titel Forum Antworten Datum
Neu Datenimport Shop -> Wawi unvollständig WooCommerce-Connector 3
Umstieg auf Wawi 1.8 - Amazon VCS Lite - Lieferanschrift editieren möglich ?! JTL-Wawi 1.8 0
Neu Einzelpreisanzeige in Wawi dringend benötigt JTL-Wawi - Ideen, Lob und Kritik 1
Neu Wawi Beta 1.9.4.1 Instalationsdatei lässt sich nicht öffnen Installation von JTL-Wawi 16
Neu Bluetooth Etikettendrucker wird nicht in Wawi angezeigt JTL-Wawi - Fehler und Bugs 4
Neu JTL Shop (5.15) Bestellung fehlt in Shop & Wawi JTL-Shop - Fehler und Bugs 0
Neu Nach neuem lokalen Wawi Server wöchentliche Sperre vom Shop Allgemeine Fragen zu JTL-Shop 4
Neu Über 10 Jahre alte Kundendaten + Aufträge + Rechnung in der wawi löschen User helfen Usern - Fragen zu JTL-Wawi 0
Wichtig 👉 Abkündigung JTL-Wawi 1.6 und 1.7 zum 15.05.2024 News, Events und Umfragen 15
Neu 👉 JTL-Wawi 1.9 Stable Release 1.9.4.1 Releaseforum 0
Issue angelegt [WAWI-23263] Artikel per Workflow auf die Einkaufsliste setzen WAWI APP JTL-Workflows - Fehler und Bugs 8
Fenster beim Druck aus der Wawi JTL-Wawi 1.8 1
[WAWI-API] Fehler beim Updaten eines Item-Customfield JTL-Wawi 1.8 2
KI Integration in JTL Wawi - OpenAI/ChatGPT JTL-Wawi 1.8 0
Wawi Pickliste und WMS Pickliste Kombinieren JTL-WMS / JTL-Packtisch+ - Fehler und Bugs 0
Serverproblem? Unerträglich langsames Tempo der Wawi 1.7.11.0 - seit gestern abend JTL-Wawi 1.7 0
Neu 2 JTL-Shops (B2B + B2C) in der Wawi User helfen Usern - Fragen zu JTL-Wawi 6
[JTL-WAWI API] Fragen zur Dokumentaion JTL-Wawi 1.8 4
Neu Umsatzreport nach Quartal aus der Wawi (1.5.55) User helfen Usern - Fragen zu JTL-Wawi 12
Neu JTL Wawi 1.8: Globale Vorlagensets, bedingte Mailanhänge? Druck-/ E-Mail-/ Exportvorlagen in JTL-Wawi 0
Neu Lieferantenretouren - siehe https://issues.jtl-software.de/issues/WAWI-14278 JTL-Wawi - Ideen, Lob und Kritik 0
Mit Wawi nur auf dem Server arbeiten oder auf Server-Client Betrieb umstellen? JTL-Wawi 1.8 7
Neu JTL Wawi berücksichtigt bei Bestellvorschlag indirekten Zulauf aus angemeldeter Retoure nicht JTL-Wawi - Ideen, Lob und Kritik 0
JTL-WAWI API: Authorization has been denied for this request. (Keine Rechte) JTL-Wawi 1.8 11
Wawi Datenbank Zertifikat abgelaufen JTL-Wawi 1.8 10
Rechnungserstellung verschiedener Firmierungen innerhalb eines Wawi Mandanten JTL-Wawi 1.6 4
JTL WAWI 1.8.12.2 Shopware 6 / Connector Abgleich Fehler Gelöste Themen in diesem Bereich 3
Neu Wawi 1.8: Was tun, wenn die Listanzeigen waagerecht durchlaufen? JTL-Wawi - Fehler und Bugs 3
Neu Wawi 1.9.4.0 Ausgabe ohne Funktion JTL-Wawi - Fehler und Bugs 1
Fehlermeldung bei JTL-Connector/JTL-Wawi WooCommerce-Connector 1
JTL WaWi Download nicht möglich JTL-Wawi 1.8 3
Neu Shopware 5 Bilder werden nicht übertragen nach Update auf Wawi 1.7.15.6 Shopware-Connector 0
Neu Wie kann ich mit der Wawi Ebay Rechnungen erstellen und nach ebay hochladen? eBay-Anbindung - Fehler und Bugs 3
Neu 👉 JTL-Wawi 1.9 Open Beta Release - Aktuell 1.9.4.1 Releaseforum 2
Artikel per Ameise mehreren Kategorien zuordnen - Artikeldatenimport in WaWi nicht mehr vorhanden JTL-Wawi 1.8 6
Artikelbeschreibung standardisiert von JTL-Wawi ziehen - Positionsname JTL-Wawi 1.8 11
Neu Der Shop schickt die Aufträge nicht mehr an die Wawi JTL-Shop - Fehler und Bugs 1
Verwendung der Statistik in Wawi 1.8: JTL-Wawi 1.8 3
Download Wawi Version 1.8.5.1 JTL-Wawi 1.8 5
Neu Änderung Kundennummern in WaWi - welche Auswirkungen? Gelöste Themen in diesem Bereich 3
Neu Datenmigration von anderer WaWi auf JTL-WaWi Starten mit JTL: Projektabwicklung & Migration 12
Beschaffung Bestandsplanung in JTL Wawi 1.8.10 JTL-Wawi 1.8 0
Neu Workflow bei Login in WMS / WAWI starten User helfen Usern - Fragen zu JTL-Wawi 10
Gelöst JTL POS wird nicht an WaWi angebunden Einrichtung / Updates von JTL-POS 2
Neu JTL Shop 5 Daten - In "leere" JTL Wawi Datenbank importieren - Ist das möglich? User helfen Usern - Fragen zu JTL-Wawi 8
Neu Woocomnerce Aufträge werden in WAWI erstellt aber nicht als bezahlt markiert Gelöste Themen in diesem Bereich 3
Neu ecomdata down? Hosting JTL Wawi nicht erreichbar User helfen Usern - Fragen zu JTL-Wawi 46
Kennzahlen Übersicht für JTL Wawi - Wirtschaftliche Auswertung JTL-Wawi 1.8 0
[JTL-WAWI API] MandatoryApiScopes / OptionalApiScopes JTL-Wawi 1.8 3
Neu Migration Shopware 5 auf 6 mit JTL-Wawi ohne Datenverlust Shopware-Connector 1

Ähnliche Themen